勉強前イメージ
それぞれセキュリティの調査してるときに出てきたけどわからなかった
調査
CSIRT とは
Computer Security Incident Response Team の略で、シーサート と読みます。
セキュリティインシデントに関する報告を受け取って、調査・対応を行うチームのことを指します。
1988年にネットワークに甚大な被害を与えたことから、インシデント対応と情報共有を担う組織として
CSIRTが米カーネギーメロン大学内に設置されたのが始まりで、その後世界各国で作られるようになた。
日本ではJPCERT/CCという組織が1996年に発足しました。
イメージとしては、CSIRTという組織がどこかに存在する というより
セキュリティインシデントの調査・対応を行うチーム というイメージで社内・組織内で発足することがあります。
CSIRT の種類
CSIRTにもいくつか種類があって、6つに分類されます。
- National CSIRT
国・地域が関わるインシデントに対応するCSIRTで、国や地域との窓口として活動します。
政府機関や企業との連携を行います。
- Internal CSIRT
組織や顧客が関わるインシデントに対応するCSIRTで、
Internal CSIRTの多くが企業内で社員・顧客に対して活動を行います。
- Analysis Center
新しい脆弱性や攻撃手法を調査するCSIRTで、
サイバー攻撃の分析や解析を行い、注意や呼びかけを行います。
- Coordination Center
発生したインシデントの火消しを行うCSIRTで、
政府・企業間など複数のCSIRT間の情報共有を行うCSIRTです。
- Vendor Team
自社製品の脆弱性に対応するCSIRTで、
新しいセキュリティホールなどの報告を受けた際、検証・更新プログラムの作成や注意喚起を行います。
- Incident Response Provider
契約に応じて外部組織のインシデント対応を代行するCSIRTで、
組織内CSIRTを有償で代行する業者を指します。
CSIRTの仕事内容
平常時の仕事内容
平常時は社内各部署や情報連携、インシデント情報収集などを行います。
- 経営部門や社内各部門との連絡・連携
- セキュリティ製品・サービスの選定・導入・運用
- 社内のセキュリティ教育研修実施
- 各種脅威の情報収集
インシデント発生時の仕事内容
インシデント発生時は、インシデントの把握・原因分析・経営層への報告や
問題解決や再発防止策の策定などを行います。
- インシデント発生の検知・報告
- インシデントの影響範囲や原因の調査
- 社内外の報告
- 再発防止対策の実施
勉強後イメージ
CSIRTって初めて聞いた。
最初調べたときにそういう組織があるって思ったけど
そうじゃなくてそういうチームを作る的なやつか・・・
あといろんな分類のCSIRTがあるんですね